無限のロギングルールでログをアーカイブする 🔗
注釈
Splunk Observability Cloud の Splunk Log Observer エンタイトルメントをお持ちのお客様は、2023年12月までに Log Observer から Log Observer Connect に移行する必要があります。Log Observer Connect を使用すると、より多様なデータソースからより多くのログをインジェストし、より高度なログパイプラインを利用し、セキュリティロギングに拡張できます。その方法については、Splunk Log Observer の移行 を参照してください。
無限のロギングルールを作成し、コンプライアンスや将来の使用のために、ログのすべてまたは任意のサブセットを Amazon S3 バケットにアーカイブします。一方でSplunk Log Observerでログを分析したいと思わない限り、ロギングルールのインデックス化には支払いしません。
無限のロギングルールを使用できるのは、Splunk Log Observer のエンタイトルメントを持つお客様のみです。これらのお客様は Log Observer Connect に移行する必要があります。
Log Observer Connectへの移行後 🔗
既存の無限のロギングルールを使用し続けることができます。既存の無限のロギングルールをオフにしたりオンにしたりすることができます。ただし、新しい無限のロギングルールを作成したり、既存のルールを編集したりすることはできません。
今後、Splunk の担当者と、無限のロギングルールの代わりに Splunk プラットフォームで使用できる以下のタイプのデータストレージについて話し合い、組織にとって最適なオプションを決定してください:
ストレージタイプ |
ドキュメント |
|---|---|
ダイナミックデータアクティブアーカイブ |
期限切れの Splunk Cloud Platform データを Splunk が管理するアーカイブに保存する を参照してください |
ダイナミックデータセルフストレージ |
|
インジェストアクション |
ログをアーカイブするユースケース 🔗
ログをアーカイブする主なユースケースは2つあります:
インデックスを作成するデータ量を減らす 🔗
ログの中には、日常的には有用でなくても、将来インシデントが発生した場合に重要なものがあります。例えば、非本番環境からのログを常にインデックス化したいとは思わないかもしれないし、すべてのデバッグメッセージをインデックス化したいとは思わないかもしれません。どちらの場合でも、チームがAWSに所有するS3バケットにこれらのログをアーカイブする無限ログルールを作成することができます。
Log Observerで分析するためにアーカイブされたログのサンプルを保持したい場合は、アーカイブしたデータのある程度の量もインデックス化されるように、無限ロギングルールでサンプリングレートを設定できます。Log Observerでインデックスを作成し、分析するログに対してのみ料金を支払います。このようにして、インデックス作成容量への影響を減らしながら、すべてのログにわたって傾向を監視することができます。インデックス作成容量を削減するためのパイプラインルールの使用については、次のセクションの ログのパイプラインルールの実行順序 を参照してください。
ログデータを30日以上保持する 🔗
Storing logs in S3 buckets gives you full control over retention time, which can, for example, help you meet compliance and audit requirements. To retain logs longer than Log Observer’s 30-day retention period, you can archive and index 100% of your logs. Logs that are archived and indexed will be available for analysis in Log Observer for 30 days and will also be stored in S3 buckets for as long as you want them.
ログのパイプラインルールの実行順序 🔗
ログのパイプラインルールは以下の順序で実行される:
すべてのログ処理ルール(フィールド抽出、フィールドコピー、フィールド再編集プロセッサー)
すべてのログメトリクス化ルール
すべての無限ロギングルール
無限のロギングルールは最後に実行されるため、フィールド抽出ルールを作成し、その結果のフィールドを無限のロギングルールで使用することができます。また、インジェスト容量に影響を与えることなく、ログをメトリクス化し、無限のロギングによってアーカイブすることもできます。詳細については、ログのパイプラインルールのシーケンス を参照してください。
前提条件 🔗
新しい無限のロギング S3 接続を作成するには、Splunk Observability Cloud の管理者ロールが必要です。パワーユーザー権限を持っている場合、既存の無限のロギング S3 接続を使用して S3 バケットにデータを送信できますが、新しい S3 接続を作成することはできません。AWS Management Console で S3 バケットを作成するために必要な権限については、AWS のドキュメントを参照してください。
read_onlyまたはusageロールの場合、新しいS3接続を作成したり、既存の接続を使用してS3バケットにデータを送信したりすることはできません。
無限のロギングルールを作成する 🔗
無限のロギングルールを作成するには、以下の手順に従ってください:
ナビゲーションメニューから、Data Configuration > Logs Pipeline Management に移動します。
New infinite logging Rule をクリックします。
データのアーカイブ先を決定します。ログを既存のS3バケットに送信するには、必要な無限のロギング接続を選択し、ステップ9にスキップします。
If you want to send your data to a new S3 bucket and you are a Splunk Observability Cloud admin, select Create new connection. The Establish a New S3 Connection guided setup appears.
Choose an AWS Region and Authentication Type タブで、次を実行します:
接続するAWSリージョンを選択します。
External ID または Security Token のどちらの認証タイプを使用するかを選択します。
Next をクリックします。
Prepare AWS Account タブで、ガイドされたセットアップのステップに従って、AWS Management Console で以下を実行します:
AWSポリシーを作成します。ガイド付きセットアップでは、AWSにコピー&ペーストする必要がある正確なポリシーが提供されます。
ロールを作成し、AWSポリシーと関連付けます。
S3バケットを作成し、設定します。
Establish Connection タブで、次を実行します:
新しいS3接続に名前を付けます。
AWS Management ConsoleからRole ARNをガイドセットアップの Role ARN フィールドに貼り付けます。
S3バケットに名前を付けます。
Save を選択します。
ガイド付きセットアップの最初のページで作成したAmazon S3無限のロギング接続を選択します。データは、次の2つのステップで設定するファイル内のS3バケットに移動します。
(オプション) S3バケットに送信するファイルの先頭に付加するファイルプレフィックスを追加することができます。
(オプション) Advanced Configuration Options では、S3バケットに送信するファイルの圧縮とファイル形式を選択できます。
Next を選択します。
Filter Data ページで、S3バケットにアーカイブしたいログ行にマッチするフィルターを作成します。フィルターに一致するログのみがアーカイブされます。アーカイブに行くログのサンプルをインデックス化したい場合は、Define indexing behavior でパーセンテージを選択します。Log Observerでログの小さなパーセンテージをインデックス化することで、S3バケットにあるログの傾向を見ることができます。Next を選択します。
無限のロギングルールの名前と説明を追加します。
設定の選択を確認し、Save を選択します。
Your infinite logging setup is now complete. Depending on your selections, your logs are archived, indexed in Splunk Observability Cloud for analysis, or both.
無限のロギングルール制限 🔗
組織は合計128の無限のロギングルールを作成できます。